Behandling av kunders personuppgifter vid elektronisk handel

Storlek: px
Starta visningen från sidan:

Download "Behandling av kunders personuppgifter vid elektronisk handel"

Transkript

1 Behandling av kunders personuppgifter vid elektronisk handel DATAINSPEKTIONENS RAPPORT 2003:2

2 Innehållsförteckning 1. Inledning Sammanfattning Allmänt om personuppgiftslagen (1998:204) Några grundläggande begrepp Datainspektionens iakttagelser och synpunkter Vem är personuppgiftsansvarig? När får företag samla in och lagra personuppgifter? Ändamålet med behandlingen Särskilda regler gäller för underåriga Vilken information ska lämnas till kunder? Den information som ska lämnas Rätten till information/registerutdrag Rätten till rättelse För behandling av känsliga personuppgifter krävs samtycke När får personnummer behandlas? Hur länge får uppgifter om kunder sparas? När får kundregister användas för direktadresserad reklam? Utlämnande av kunduppgifter och överlåtelse av kundregister Branschöverenskommelsen IT-säkerheten 15 Bilagor 1

3 1. Inledning En mängd klagomål och förfrågningar angående behandling av personuppgifter vid elektronisk handel har kommit in till Datainspektionen. Det har också skrivits en del om detta i tidningarna. Under våren och hösten 2002 har Datainspektionen därför genomfört ett tillsynsprojekt för att kontrollera hur kunders personuppgifter hanteras vid elektronisk handel, s.k. e-handel. Syftet med projektet var att granska om de legala förutsättningarna för att behandla känsliga personuppgifter var uppfyllda, om informationen till kunderna uppfyllde personuppgiftslagens krav och om IT-säkerheten var tillfyllest. Inom ramen för projektet utövades tillsynen genom att 50 slumpvis utvalda företag skriftligen fick besvara ett antal frågor i en enkät. 46 av de 50 företagen (bilaga 1) besvarade frågorna i enkäten (bilaga 2). Fyra av företagen föll bort på grund av de hade upphört med e-handelsverksamhet eller inte gick att få tag på. De lämnade enkätsvaren följdes upp med fältinspektioner på plats hos sex av företagen. I projektet ingår också fältinspektioner som Datainspektionen företog med anledning av uppmärksamhet i massmedia om bristande ITsäkerhet hos e-handelsföretag. Här lämnas en sammanfattning av resultatet av projektet och en översiktlig redogörelse för innehållet i personuppgiftslagen. Därefter redovisas utfallet av inspektionerna och enkätundersökningen. I anslutning därtill påpekar Datainspektionen vad som generellt bör beaktas. Denna rapport handlar om behandling av personuppgifter enligt personuppgiftslagen (1998:204), PuL. Konsumenträttsliga aspekter tas inte upp. Stockholm i april

4 2. Sammanfattning Syftet med projektet var att kontrollera om de legala förutsättningarna för att behandla känsliga personuppgifter var uppfyllda, om informationen till kunderna uppfyllde personuppgiftslagens (PuL) krav på information och om IT-säkerheten var tillfyllest. Datainspektionen kom fram till att det råder en okunskap om vem som har det yttersta ansvaret för de personuppgiftsbehandlingar som utförs. Det är viktigt att veta vem som är personuppgiftsansvarig. Den personuppgiftsansvarige (normalt en juridisk person) har ett skadeståndsansvar för att behandlingarna av personuppgifter sker i enlighet med PuL. Flera av de skyldigheter som PuL lägger på den personuppgiftsansvarige är dessutom straffsanktionerade. Det är därför av stor vikt att man inom ett företag har klart för sig vem som är ytterst ansvarig för den behandling av personuppgifter som sker. Den personuppgiftsansvarige är också huvudansvarig för IT-säkerheten. Informationen till de registrerade uppfyllde sällan PuL:s krav. Det är viktigt att den registrerade får information om vad som händer med hans eller hennes personuppgifter. Den enskilde ska ha klart för sig vem eller vilka som ska ha tillgång till uppgifterna och till vad de skall användas. Vidare måste den enskilde få veta vem som ytterst ansvarar för att personuppgifterna behandlas i enlighet med lagen och att de har ett tillräckligt skydd. Informationen till de registrerade är därför särskilt viktig. Flera företag behandlade uppgifter som rör kunders hälsa. Om företag ska behandla sådana uppgifter måste samtycke från kunden föreligga. Personnummer får registreras om samtycke föreligger. Föreligger inte samtycke får personuppgifter behandlas endast när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering, eller något annat beaktansvärt skäl. Rutiner för gallring saknades i de flesta fall. Den personuppgiftsansvarige är skyldig att se till att personuppgifterna inte sparas längre än vad som är nödvändigt för behandlingen. Det är den personuppgiftsansvarige som har ansvaret för att sprida information om IT-säkerhet i organisationen och för att ge tydliga instruktioner. Det är också den personuppgiftsansvarige som ansvarar för eventuella säkerhetsbrister. Flera av företagen hade inte gjort någon säkerhetsanalys av den egna IT-miljön. Säkerheten är en mycket viktig del av skyddet för den personliga integriteten. Den som behandlar personuppgifter med hjälp av informationsteknik måste därför skydda uppgifterna och se till att det finns en tillfredsställande säkerhet. 3

5 3. Allmänt om personuppgiftslagen (1998:204) Syftet med personuppgiftslagen (PuL) är att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. PuL gäller för all behandling av personuppgifter som utförs helt eller delvis automatiserat och som inte utförs av en fysisk person som ett led i en verksamhet av rent privat natur. Lagen tillämpas inte på sådant som omfattas av tryckfrihetsförordningen och yttrandefrihetsgrundlagen. Av PuL framgår att om det i annan lag eller förordning finns bestämmelser som avviker från PuL, ska de avvikande bestämmelserna gälla. PuL innehåller regler om grundläggande krav som ställs på all behandling av personuppgifter. Personuppgifter får t.ex. endast samlas in för särskilda, uttryckligt angivna och berättigade ändamål. Uppgifter som samlas in för ett visst ändamål får sedan inte behandlas för något ändamål som är oförenligt med det ursprungliga. Fler uppgifter än vad som är nödvändigt med hänsyn till ändamålen får inte behandlas. Personuppgifterna som behandlas ska även vara riktiga och aktuella, och får inte bevaras under längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. PuL innehåller vidare regler för när behandling av personuppgifter är tillåten. Personuppgifter får behandlas om den registrerade har lämnat sitt samtycke till behandlingen. Utan samtycke får uppgifterna bara behandlas när behandlingen är nödvändig för vissa i lagen angivna syften. Ett sådant angivet syfte är t.ex. att den personuppgiftsansvarige ska kunna fullgöra ett avtal med den registrerade. Den personuppgiftsansvarige är skyldig att anmäla sin behandling av personuppgifter till Datainspektionen. Huvudregel är att varje enskild behandling av personuppgifter ska anmälas till Datainspektionen. Från denna bestämmelse finns dock undantag. Anmälan behöver t.ex. inte göras om den personuppgiftsansvarige har utsett och anmält ett personuppgiftsombud till Datainspektionen eller när personuppgifter behandlas i enlighet med en branschöverenskommelse som har bedömts av Datainspektionen. I PuL finns också restriktioner när det gäller behandling av känsliga personuppgifter, uppgifter om lagöverträdelser och uppgift om personnummer. Det finns också bestämmelser om bl.a. information till de registrerade, om rättelser av uppgifter och om IT-säkerhet. PuL innehåller bestämmelser om straff (böter eller fängelse i högst sex månader) för den som bryter mot vissa bestämmelser i lagen. Är brottet grovt är straffet fängelse i högst två år. I ringa fall döms inte till straff. Vidare kan den personuppgiftsansvarige som behandlar personuppgifter i strid med PuL bli 4

6 skadeståndsskyldig gentemot den registrerade och dömas att ersätta denne för skada och kränkning av den personliga integriteten som den olagliga behandlingen har orsakat. 4. Några grundläggande begrepp Personuppgifter all slags information som direkt eller indirekt kan hänföras till en fysisk person som är i livet. Känsliga personuppgifter personuppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening samt sådana personuppgifter som rör hälsa eller sexualliv. Behandling av personuppgifter varje åtgärd eller serie av åtgärder som vidtas i fråga om personuppgifter, vare sig det sker på automatisk väg eller inte, t.ex. insamling, registrering, organisering, lagring, bearbetning eller ändring, återvinning, inhämtande, användning, utlämnande genom översändande, spridning eller annat tillhandahållande av uppgifter, sammanställning eller samkörning, blockering, utplåning eller förstörning. Personuppgiftsansvarig den som ensam eller tillsammans med andra bestämmer ändamålet med och medlen för behandlingen av personuppgifter. Den registrerade den som en personuppgift avser. Personuppgiftsombud den fysiska person som, efter förordnande av den personuppgiftsansvarige, självständigt ska se till att personuppgifter behandlas på ett korrekt och lagligt sätt. Samtycke varje slag av frivillig, särskild och otvetydig viljeyttring genom vilken den registrerade, efter att ha fått information, godtar behandling av personuppgifter som rör honom eller henne. 5

7 5. Datainspektionens iakttagelser och synpunkter 5.1 Vem är personuppgiftsansvarig? Personuppgiftsansvarig är enligt lagens definition den som ensam eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen av personuppgifter. Så snart personuppgifter behandlas finns det en eller flera som är ansvariga för den behandlingen. Vem som är personuppgiftsansvarig bestäms utifrån de faktiska omständigheterna i det enskilda fallet. Man måste bedöma vem eller vilka som faktiskt har bestämt över personuppgiftsbehandlingen. Om två eller flera gemensamt bestämmer över en viss behandling är de personuppgiftsansvariga tillsammans. Det är oftast inte en fysisk person som är personuppgiftsansvarig för en viss behandling. I stället brukar det vara en juridisk person exempelvis ett bolag som ytterst bestämmer vilka uppgifter som skall behandlas och vad de skall användas till. Det är inte en anställd hos ett företag som är personuppgiftsansvarig. Undantagsvis kan en fysisk person vara personuppgiftsansvarig, t.ex. en enskild företagare. Datainspektionens iakttagelser: Av de 46 företag som svarade på enkäten angav endast 12 företaget som personuppgiftsansvarig. De flesta av företagen uppgav felaktigt en anställd som personuppgiftsansvarig. Ett av företagen som ingick i en koncern visste inte hur ansvarsfördelningen var mellan bolag inom koncernen. Datainspektionens synpunkter: Det är viktigt att ha klart för sig vem som är personuppgiftsansvarig eftersom det har betydelse bl.a. för vem som har det skadeståndsrättsliga ansvaret för att personuppgifter behandlas i enlighet med PuL PuL 6

8 5.2 När får företag samla in och lagra personuppgifter? Ändamålet med behandlingen Personuppgifter får samlas in bara för särskilda, uttryckligt angivna och berättigade ändamål. Ändamålen måste bestämmas redan när uppgifterna samlas in. Att ändamålen skall vara särskilda innebär att en alltför allmänt hållen ändamålsbestämning inte kan godtas. Det skall framgå av informationen 2 för vilka ändamål personuppgifterna ska användas. Ett företag får utan den registrerades samtycke behandla de personuppgifter som är nödvändiga i ett kundförhållande för att fullgöra ett avtal 3 mellan företaget och kunden. Uppgifter som behövs för att företaget ska kunna sköta sin kundadministration, såsom namn och adressuppgifter, e-postadress samt i vissa situationer personnummer får då behandlas. Om känsliga personuppgifter skall behandlas krävs samtycke, se avsnitt Särskilda regler gäller för underåriga Särskilda regler gäller för underåriga, dvs. personer under 18 år. Underåriga kan enligt Föräldrabalken inte ingå avtal. Företagets behandling av underårigas personuppgifter kan därför inte anses ske med stöd av att behandlingen är nödvändig för att ett avtal med personen ska kunna fullgöras. Genom att underåriga inte har rätt att ingå avtal torde i praktiken underårigas personuppgifter hos e-handelsföretag endast kunna behandlas när det gäller beställning av postorderkatalog eller liknande. Personer som fyllt 16 år har dock en begränsad rätt att ingå avtal. Datainspektionens iakttagelser: Företagen genomförde i stort sett likartade behandlingar av personuppgifter. Ändamålen med behandlingarna av personuppgifter var kundadministration och marknadsföring av egna produkter. Företagen hade som regel databaser som innehöll kunduppgifter. De personuppgifter som samlades in och lagrades i databaserna var uppgifter som efterfrågas i en avtalsrättslig kundrelation. Det var fråga om uppgifter som namn, bostadsadress, e- postadress, telefonnummer, födelsedatum/personnummer och kontokortsuppgifter (vid kortköp). 2 Se avsnittet Vilken information ska lämnas till kunder?, s punkten a PuL 7

9 Datainspektionens synpunkter: Det är viktigt att ändamålet för behandlingen bestäms redan innan uppgifterna börjar samlas in. 5.3 Vilken information ska lämnas till kunder? Den information som ska lämnas Informationen till den registrerade är en viktig del i den enskildes integritetsskydd. Informationen ska lämnas i samband med att uppgifterna samlas in från kunden och ska omfatta följande uppgifter: 4 Vem som personuppgiftsansvarig (observera att det oftast inte är en fysisk person), 5 ändamålen med behandlingen av personuppgifter samt all övrig information som behövs för att kunden ska kunna ta tillvara sina rättigheter, såsom mottagarna av personuppgifterna (till vem eller vilka utanför företaget som uppgifterna kan komma att lämnas ut), rätten att ansöka om information (så kallat registerutdrag) och få rättelse av eventuellt felaktiga uppgifter. 6 Det finns inga bestämmelser om på vilket sätt informationen ska lämnas. Företaget bör inom den egna organisationen utforma klara rutiner för hur informationen ska lämnas. Det är den personuppgiftsansvarige som har ansvaret för att den registrerade får den information som krävs och det ligger därför i den personuppgiftsansvariges intresse att den information som lämnas är tydlig och begriplig för den registrerade. När personuppgifter samlas in i samband med handel på Internet bör informationen lämnas på företagets webbplats i anslutning till att den registrerade lämnar sina uppgifter. Samlas personuppgifter in skriftligen, t.ex. via en postorderblankett, bör informationen lämnas i en särskild ruta eller liknande på den blankett som kunden fyller i. Ytterligare vägledning kan fås i Datainspektionens allmänna råd om information till registrerade och 25 PuL 5 Se avsnittet Vem är personuppgiftsansvarig?, s PuL 8

10 Om uppgifterna enbart behandlas för en normal kundadministration behöver inte ny information lämnas om kunden handlar på nytt av företaget. Det går även bra att skicka reklam till befintliga kunder som företaget har ett etablerat kundförhållande med utan att ny information lämnas. Om företaget däremot vill behandla uppgifter för andra ändamål än kunderna förväntas känna till måste kunderna informeras om detta. Lämnar företaget kunders adressuppgifter till samarbetspartners måste kunden informeras om detta. I de fall samtycke krävs för att en behandling ska vara tillåten måste, för att samtycket ska vara giltigt, den registrerade ha fått sådan information att han eller hon kan bedöma för- och nackdelarna med att de aktuella personuppgifterna behandlas. Detta gäller t.ex. när känsliga personuppgifter 7 ska behandlas Rätten till information/registerutdrag Den personuppgiftsansvarige är skyldig att till var och en som ansöker om det en gång per kalenderår lämna gratis besked om personuppgifter som rör den sökande. 8 Om personuppgifter behandlas ska den sökande få skriftlig information ett så kallat registerutdrag där det framgår vilka uppgifter om den sökande som behandlas, varifrån dessa uppgifter har hämtats, ändamålen med behandlingen och till vilka mottagare eller kategorier av mottagare uppgifterna lämnats ut. Skyldigheten att lämna registerutdrag omfattar samtliga uppgifter om den registrerade som den personuppgiftsansvarige behandlar. Om inga personuppgifter behandlas ska sökanden få information om det. Genom rätten till registerutdrag får kunden möjlighet att kontrollera om han eller hon är registrerad och, om så är fallet, att de registrerade personuppgifterna är riktiga. Rätten till registerutdrag är dessutom en förutsättning för att kunden i praktiken ska kunna få felaktiga uppgifter rättade. Det är därför inte tillräckligt att kunden, efter begäran om registerutdrag, bara får generell information om vilken typ av uppgifter som registreras Rätten till rättelse Den personuppgiftsansvarige är skyldig att på begäran av kunden snarast rätta felaktiga personuppgifter. 9 Den personuppgiftsansvarige har alltid skyldighet att se till att de personuppgifter som behandlas är riktiga och ska också på eget initiativ rätta felaktiga uppgifter. 7 Se avsnittet För behandling av känsliga personuppgifter krävs samtycke, s PuL 9 28 PuL 9

11 Datainspektionens iakttagelser: Drygt hälften av de kontrollerade företagen lämnade ingen information alls till kunderna om den behandling av personuppgifter som utfördes. Några av företagen lämnade viss information som dock inte uppfyllde PuL:s krav. Datainspektionens synpunkter: Det är viktigt att den presumtive kunden innan han eller hon lämnar ifrån sig sina personuppgifter får information om vad som kommer att hända med dem. Den enskilde ska ha klart för sig vem eller vilka som ska ha tillgång till uppgifterna och till vad de ska användas. Vidare måste den enskilde få veta vem som ytterst ansvarar för att personuppgifterna behandlas i enlighet med lagen och att de har tillräckligt skydd. Det är också viktigt att den personuppgiftsansvarige har rutiner för att lämna registerutdrag och göra rättelser. 5.4 För behandling av känsliga personuppgifter krävs samtycke Känsliga personuppgifter är sådana uppgifter som avslöjar ras eller etniskt ursprung, politiska åsikter, religiös eller filosofisk övertygelse, medlemskap i fackförening eller personuppgifter som rör hälsa eller sexualliv. Enligt huvudregeln 10 är det förbjudet att behandla känsliga personuppgifter utan den registrerades samtycke. 11 Det finns flera undantag från kravet på samtycke, men inget av undantagen är tillämpligt när det är fråga om sedvanlig e-handelsverksamhet. E-handelsföretag kan således endast behandla känsliga personuppgifter med kundens uttryckliga samtycke. Köp av hälsokostpreparat kan innebära behandling av uppgifter om hälsa som kräver samtycke för att få registreras. Även registrering av handikapp kräver samtycke. Skriver en person in sina personuppgifter i ett datasystem efter att ha fått information enligt PuL, anses denne också ha samtyckt. En uppgift om medborgarskap kan i vissa fall avslöja ras eller etniskt ursprung, och är då en känslig personuppgift enligt PuL:s mening. Samtycke kan därför behöva inhämtas om sådana uppgifter ska behandlas.datainspektionens iakttagelser: PuL 11 Förbudet är straffsanktionerat, 49 första stycket punkten b PuL 10

12 Känsliga personuppgifter behandlades av en del av de företag som ingick i studien. Hälsouppgifter behandlades av ett hälsokostföretag när kunder på eget initiativ ringde in och angav t.ex. allergier eller biverkningar av en viss produkt. Uppgifterna registrerades då i kundregistret. Några reseföretag behandlade uppgifter om handikapp inför resor och hotellbokningar samt uppgifter om medborgarskap. Datainspektionens synpunkter: Om företagen ska behandla känsliga personuppgifter måste samtycke från kunden föreligga. Innan samtycke lämnas ska kunden ha fått sådan information som beskrivs i avsnitt När får personnummer behandlas? Uppgift om personnummer eller samordningsnummer får utan samtycke från den registrerade behandlas bara när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering eller något annat beaktansvärt skäl. 12 Om ett företag ska hämta in en kunds personnummer är huvudregeln att det ska ske med samtycke från kunden. När en kund väljer att handla hos ett visst företag och lämnar sitt personnummer till företaget, får det anses att kunden samtycker till att företaget behandlar personnumret. Om personnumret tas in från annat håll än kunden själv krävs att något av undantagen i PuL är tillämpligt för att behandlingen ska vara tillåten. Inför en kreditbedömning eller försäljning mot faktura kan en behandling av personnummer vara motiverad med hänsyn till vikten av en säker identifiering. Vid köp som inte innehåller någon form av kredit är det däremot sällan berättigat att behandla personnummer utan kundens samtycke. Det är inte tillåtet att utan kundens samtycke använda personnummer som ett generellt kundnummer i olika sammanhang. Datainspektionens iakttagelser: Ungefär en tredjedel av företagen samlade in och behandlade personnummer. Ett par av företagen uppgav att de endast inhämtade personnummer inför kreditbedömning, vid betalning med kontokort eller då det krävdes enligt lag, t.ex. vid TV-köp. Fem av företagen samlade in kunders födelsedatum. Ett fåtal PuL 11

13 av företagen uppgav att de endast samlade in födelseår. Datainspektionens synpunkter: Personnummer får registreras om samtycke föreligger. Om inte samtycke föreligger får personuppgifter behandlas endast när det är klart motiverat med hänsyn till ändamålet med behandlingen, vikten av en säker identifiering, eller något annat beaktansvärt skäl. 5.6 Hur länge får uppgifter om kunder sparas? Av PuL framgår att den personuppgiftsansvarige ska se till att personuppgifterna inte bevaras under en längre tid än vad som är nödvändigt med hänsyn till ändamålen med behandlingen. 13 Det betyder att uppgifterna måste gallras, dvs. avidentifieras eller förstöras, när de inte längre behövs. Att avidentifiera personuppgifterna innebär att man avlägsnar alla identifieringsmöjligheter så att de uppgifter som fortsättningsvis behandlas inte längre, direkt eller indirekt, går att hänföra till en viss fysisk person. Krypterade personuppgifter är inte avidentifierade så länge någon kan göra uppgifterna läsbara och därmed identifiera den person som uppgifterna avser. Att förstöra personuppgifterna innebär att de måste förstöras så att de inte går att återskapa. Företaget måste se till att det finns rutiner för gallring av uppgifter om kunderna, dvs. rutiner för att ta bort uppgifter som inte längre behövs i verksamheten. Företaget ska därför ta ställning till hur länge det är nödvändigt att behandla uppgifter om kunderna och skaffa sig rutiner för gallring. Ställningstagandet ska ske med utgångspunkt i ändamålen med den behandling av personuppgifter som utförs. Avgörande för när personuppgifterna inte längre får bevaras bör vara om mellanhavandet mellan den personuppgiftsansvarige och kunden har avslutats, t.ex. om en vara har levererats och om varan är betald. Om en vara säljs på kredit får uppgifterna sparas till varan är betald. När en vara säljs med ett garantiåtagande kan personuppgifterna sparas till dess garantin gått ut. Beställs en broschyr eller liknande bör uppgifterna tas bort efter det att broschyren har sänts till beställaren. Det bör observeras att nya ändamål som inte är oförenliga med det ändamål för vilket uppgifterna från början samlades in, exempelvis marknadsföringsändamål, kan medföra att uppgifterna får bevaras längre tid än vad som sägs ovan. Dessutom kan andra bestämmelser i annan lagstiftning, t.ex. skattelagstiftning eller bokföringslagen, 13 Se avsnittet Ändamålet med behandlingen, s. 7 12

14 medföra att personuppgifterna måste bevaras under en längre tid än vad som sägs ovan. Datainspektionens iakttagelser: Närmare hälften av företagen gallrade överhuvudtaget inte personuppgifter. Några av företagen hade rutiner för gallring med olika långa tidsfrister. Det fanns t.ex. företag som uppdaterade och tog bort personuppgifter två gånger per år i samband med större reklamutskick. Det fanns också företag som inte gallrade personuppgifter oftare än vart sjätte år. Datainspektionens synpunkter: Det ska finnas rutiner för när uppgifter ska gallras. Den personuppgiftsansvarige har ett ansvar för att fungerande rutiner finns och att personuppgifter inte sparas i onödan. 5.7 När får kundregister användas för direktadresserad reklam? Om det finns ett kundförhållande mellan den personuppgiftsansvarige och den registrerade får personuppgifter behandlas för ändamål som rör direktmarknadsföring. Enligt PuL 14 har dock kunden rätt att motsätta sig att uppgifter behandlas för direktadresserad reklam. Den personuppgiftsansvarige bör därför ha rutiner för att hantera kunders begäran om att få slippa direktreklam. En näringsidkare får använda elektronisk post (e-post) vid marknadsföring till en kund om inte kunden tydligt motsatt sig att metoden används Utlämnande av kunduppgifter och överlåtelse av kundregister Om ett företag lämnar ut kunduppgifter till ett annat företag som ska använda dessa i sin marknadsföring så ska kunden informeras om detta. Det kan vara av väsentlig betydelse för den enskilde vilka som har tillgång till personuppgifterna. Om ett företag ämnar köpa ett kundregister från ett företag som inte bedriver liknande verksamhet, måste kunderna i registret först informeras enligt PuL och därefter lämna sitt samtycke till att det nya företaget behandlar deras personuppgifter PuL 13

15 5.7.2 Branschöverenskommelsen Inom direktreklambranschen har en branschöverenskommelse träffats vad avser behandling av personuppgifter inom området, Regler för användning av personuppgifter m.m. vid direkt marknadsföring för försäljning-, insamlings-, medlemsvärvningsändamål och liknande. Branschöverenskommelsen reglerar bl.a. under vilka förutsättningar personuppgifter får användas för företagets marknadsföring gentemot egna kunder. Det finns t.ex. begränsningar avseende direktreklam till personer under 16 år och till nyblivna föräldrar. Med samma begränsningar får uppgifterna också lämnas ut till andra företag inom samma bransch eller en närliggande bransch. Att under dessa förutsättningar lämna ut företagets kunduppgifter är således tillåtet enligt branschöverenskommelsen. Vidare ska företaget som lämnar ut uppgifterna eller mottagaren av dessa se till att uppgifterna kontrolleras mot det centrala NIX-registret (allmänt tillgängligt spärregister för privatpersoner som inte vill ha direktadresserad reklam). Företag som tillämpar branschöverenskommelsen behöver inte anmäla behandlingen av personuppgifter till Datainspektionen. 15 Datainspektionens iakttagelser: Företagen uppgav att de använde kundregistren för att skicka direktadresserad reklam för marknadsföring av egna produkter. En tredjedel av företagen lämnade även ut kundernas adressuppgifter till samarbetspartners och andra för deras marknadsföring. Datainspektionens synpunkter: Kunder som motsätter sig att deras personuppgifter behandlas för direktreklamändamål ska slippa få direktreklam. Om personuppgifter lämnas till annat företag ska kunden informeras. Om kundregister säljs ska köparen, om denne inte driver liknande verksamhet som säljaren, inhämta samtycke från kunderna innan uppgifterna registreras i köparens kundregister. 15 Se avsnittet Allmänt om personuppgiftslagen, s. 4, om när en anmälan skall göras 14

16 5.8 IT-säkerheten Det är den personuppgiftsansvarige som har ansvaret för att sprida information om IT-säkerhet i organisationen och för att ge tydliga instruktioner. Det är också den personuppgiftsansvarige som ansvarar för eventuella säkerhetsbrister. Säkerheten är en mycket viktig del av skyddet för den personliga integriteten. Den som behandlar personuppgifter med hjälp av informationsteknik måste därför skydda uppgifterna och se till att det finns en tillfredsställande säkerhet. I PuL 16 finns bestämmelser om säkerhet vid behandling av personuppgifter. Den personuppgiftsansvarige ska vidta lämpliga tekniska och organisatoriska åtgärder för att skydda de personuppgifter som behandlas. Åtgärderna ska åstadkomma en säkerhetsnivå som är lämplig med beaktande av de tekniska möjligheter som finns, vad det kostar att genomföra åtgärderna, de särskilda risker som finns med behandlingen av personuppgifterna och hur pass känsliga uppgifterna är. Datainspektionen får i enskilda fall besluta om vilka säkerhetsåtgärder som den personuppgiftsansvarige ska vidta. Bindande föreskrifter om säkerhet kan meddelas av Datainspektionen, t.ex. vid behandling av personuppgifter som innebär särskilda risker för otillbörligt intrång i den personliga integriteten. Utgångspunkten för säkerhetsarbetet är medvetenhet om vilka risker som finns i den egna IT-miljön. Den personuppgiftsansvarige bör därför göra klart för sig vilken hotbild som finns, dvs. vilka händelser som skulle kunna drabba den egna IT-miljön. Vidare hur stor risken är att ett hot blir verklighet och konsekvenserna av detta samt vilka resurser en obehörig behöver för att realisera ett hot, dvs. vilken kunskap, utrustning, eller omständighet som krävs för att hotet ska kunna bli verklighet. Försök till intrång bör följas upp. För att förhindra obehörig användning eller åtkomst bör ett system för behörighetskontroll upprättas. Ett sådant system bör omfatta möjligheter att identifiera användare och bekräfta användarens identitet, exempelvis genom användning av lösenord. Personuppgifter som överförs via Internet bör, beroende på känsligheten hos personuppgifterna, skyddas, t.ex. genom kryptering. Datainspektionens iakttagelser: En stor del av företagen uppgav i enkätsvaren att de tagit del av Datainspektionens allmänna råd om säkerhet för personuppgifter, att man hade gjort säkerhetsanalyser av den egna IT-miljön och att adekvata säkerhetsåtgärder hade vidtagits. De företag som inte hade tagit del av Datainspektionens skrift och/eller PuL 15

17 inte gjort en säkerhetsanalys svarade mycket kortfattat på de ställda frågorna om IT-säkerheten. Inga av de tillfrågade företagen uppgav vilka säkerhetsbristerna var eller hade varit. Vid fältinspektionerna framkom att några företag hade haft problem med att kontrollen av identitet och inloggning inte var fullständig. Det var möjligt att i vissa delar få åtkomst till personuppgifter utan att ha behörighet. Vid inspektionerna var bristerna åtgärdade. Datainspektionens synpunkter: Det är den personuppgiftsansvarige som har ansvaret för att sprida information om IT-säkerhet i organisationen och för att ge tydliga instruktioner. Det är också den personuppgiftsansvarige som ansvarar för eventuella säkerhetsbrister. 16

18 Bilaga 1 - Tillsynsobjekten Kategori Hobby 1. Panduro Hobby AB (diarienummer ) Malmö 2. Jula Postorder AB (diarienummer ) Tangentvägen Kungens Kurva 3. Clas Ohlson AB (publ) (diarienummer ) Insjön 4. Hobbex AB (diarienummer , ) Box Borås 5. Teknikmagasinet Sweden AB (diarienummer ) Box Sundbyberg 6. Broman & Song Fishit AB (diarienummer ) Enhagsvägen Täby 7. MJ-hobbyexperten AB (diarienummer ) Hantverkargatan Stockholm 8. Malmö Garnshop (diarienummer ) Kundtjänst Nobelvägen 10 A Malmö 1

19 9. R.O.O.M AB (diarienummer ) Box Stockholm Kategori Hälsokost 10. Scandinavian Hälsokost AB (diarienummer ) Kolfallsgatan Linköping 11. Vitamex AB (diarienummer ) Box Norrköping 12. Hälsohörnan Hemaco (diarienummer ) c/o Iréne K M Helenius Mörtgränden Upplands Väsby 13. Bodystore in Europe HB (diarienummer ) Stationsvägen Lysvik 14. Webblabbet AB (diarienummer ) Södra Torggatan Kungsbacka 15. Levab AB (diarienummer , ) Box Norrköping 2

20 Kategori Leksaker 16. BooBen (diarienummer ) Sprängsviken Lunde 17. Bokmalen HB (diarienummer ) N. Slottsgatan 6 Box Uppsala 18. Buttericks Festspecialisten AB (diarienummer ) Drottninggatan Stockholm Kategori Resor 19. MyTravel Northern Europe AB (diarienummer , ) Rålambsvägen Stockholm (I MyTravel Northern Europe ingår Ving, Always, Spies, Globetrotter) 20. Spies, se under p.19 (diarienummer ) 21. Ving, se under p.19 (diarienummer ) 22. Always, se under p.19 (diarienummer ) 23. Globetrotter, se under p.19 (diarienummer ) 24. Fritidsresor AB (diarienummer ) Fritidsresegruppen Söder Mälarstrand Stockholm 3

Personuppgiftsbehandling i forskning

Personuppgiftsbehandling i forskning Personuppgiftsbehandling i forskning 4 mars 2014 Victoria Söderqvist, jurist Datainspektionen Personuppgiftslagen Bygger på dataskyddsdirektivet Generell lag bestämmelser i annan lag eller förordning gäller

Läs mer

PERSONUPPGIFTSLAGEN (PUL)

PERSONUPPGIFTSLAGEN (PUL) 1 (6) PERSONUPPGIFTSLAGEN (PUL) Lagens ikraftträdande PUL trädde ikraft den 24 oktober 1998 och genom PUL:s införande upphävdes 1973-års datalag. För behandling av personuppgifter, som påbörjats före den

Läs mer

Känsliga uppgifter 6. Personnummer på klasslistor 8. Uppgifter om familjemedlemmar 8. Bevarande av uppgifterna 10. Innehållsförteckning.

Känsliga uppgifter 6. Personnummer på klasslistor 8. Uppgifter om familjemedlemmar 8. Bevarande av uppgifterna 10. Innehållsförteckning. Innehållsförteckning Syftet 2 Personuppgiftslagen (1998:204) 3 Behandling av personuppgifter för administrativa ändamål 6 Känsliga uppgifter 6 Personnummer på klasslistor 8 Uppgifter om familjemedlemmar

Läs mer

Allmänna riktlinjer för behandling av personuppgifter enligt Personuppgiftslagen (PuL)

Allmänna riktlinjer för behandling av personuppgifter enligt Personuppgiftslagen (PuL) Kommunledningsförvaltningen STYRDOKUMENT Godkänd/ansvarig 1(5) Beteckning Riktlinjer behandling personuppgifter Allmänna riktlinjer för behandling av personuppgifter enligt Personuppgiftslagen (PuL) 1.

Läs mer

Pul i praktiken LINKÖPINGS KYRKLIGA SAMFÄLLIGHET

Pul i praktiken LINKÖPINGS KYRKLIGA SAMFÄLLIGHET Pul i praktiken LINKÖPINGS KYRKLIGA SAMFÄLLIGHET PUL i praktiken Vad är PuL? PuL betyder Personuppgiftslagen och trädde i kraft 1998. Personuppgiftsansvarig Den som ensam eller tillsammans med andra bestämmer

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) registrering av kunduppgifter samt klagomåls- och reklamationshantering

Tillsyn enligt personuppgiftslagen (1998:204) registrering av kunduppgifter samt klagomåls- och reklamationshantering Beslut Dnr 2009-01-12 786-2008 Kuoni Scandinavia AB Box 454 39 113 47 STOCKHOLM Tillsyn enligt personuppgiftslagen (1998:204) registrering av kunduppgifter samt klagomåls- och reklamationshantering Datainspektionens

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) registrering av kunduppgifter samt klagomåls- och reklamationshantering

Tillsyn enligt personuppgiftslagen (1998:204) registrering av kunduppgifter samt klagomåls- och reklamationshantering Beslut Dnr 2009-01-12 780-2008 Big Travel Sweden AB Jöns Filsgatan 3 203 12 Malmö Tillsyn enligt personuppgiftslagen (1998:204) registrering av kunduppgifter samt klagomåls- och reklamationshantering Datainspektionens

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) registrering av kunduppgifter samt klagomåls- och reklamationshantering

Tillsyn enligt personuppgiftslagen (1998:204) registrering av kunduppgifter samt klagomåls- och reklamationshantering Beslut Dnr 2009-01-12 771-2008 Ticket Travel Group AB Värmdövägen 84 131 08 Nacka Tillsyn enligt personuppgiftslagen (1998:204) registrering av kunduppgifter samt klagomåls- och reklamationshantering Datainspektionens

Läs mer

Regel. Behandling av personuppgifter i Riksbanken. 1 Personuppgifter

Regel. Behandling av personuppgifter i Riksbanken. 1 Personuppgifter Regel BESLUTSDATUM: 2013-11-06 BESLUT AV: Anders Vredin BEFATTNING: Avdelningschef ANSVARIG AVDELNING: Stabsavdelningen FÖRVALTNINGSANSVARIG: Åsa Sydén HANTERINGSKLASS Ö P P E N SVERIGES RIKSBANK SE-103

Läs mer

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Beslut Dnr 2006-07-10 706-2006 Norn Integrated Computer Systems AB Box 439 194 04 Upplands Väsby Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Datainspektionens beslut Datainspektionen konstaterar

Läs mer

Personuppgiftslagen konsekvenser för mitt företag

Personuppgiftslagen konsekvenser för mitt företag Personuppgiftslagen konsekvenser för mitt företag I denna promemoria finns information om personuppgiftslagen ( PuL ) som från och med den 1 oktober i år börjar gälla för de flesta behandlingar av personuppgifter

Läs mer

Behandling av personuppgifter hos rekryteringsföretag

Behandling av personuppgifter hos rekryteringsföretag Behandling av personuppgifter hos rekryteringsföretag DATAINSPEKTIONENS RAPPORT 2002:3 Innehållsförteckning Inledning...2 Sammanfattning...3 Hur samlas uppgifterna in?...5...5 Hur lagras uppgifterna?...6...6

Läs mer

Kaffemöte. lördagen den 12 november 2011 13.30 Studieförbundet Vuxenskolans lokaler Grynbodgatan 20

Kaffemöte. lördagen den 12 november 2011 13.30 Studieförbundet Vuxenskolans lokaler Grynbodgatan 20 Kaffemöte lördagen den 12 november 2011 13.30 Studieförbundet Vuxenskolans lokaler Grynbodgatan 20 Program Visning av FRIS och Skånegillets nya hemsidor Visning av nytt centralt medlemsregister för FRIS

Läs mer

Rutin för webbpublicering av personuppgifter

Rutin för webbpublicering av personuppgifter 1(5) Kommunstyrelsens förvaltning Kommunstyrelsens kansli Caroline Uttergård, Administratör 0171-525 61 caroline.uttergard@habo.se Antagen av kommundirektören 2014-10-15 Rutin för webbpublicering av personuppgifter

Läs mer

Personuppgiftsbiträdesavtal

Personuppgiftsbiträdesavtal DNR 13-125/2325 SID 1 (9) Bilaga 9 Personuppgiftsbiträdesavtal Upphandling av ett helhetsåtagande avseende IT-stöd för pedagogiskt material inom Skolplattform Stockholm DNR 13-125/2325 SID 2 (9) INNEHÅLLSFÖRTECKNING

Läs mer

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL Beslut Dnr 2008-09-09 685-2008 Produktionsnämnden för vård och bildning Uppsala kommun 753 75 UPPSALA Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL Datainspektionens beslut Datainspektionen

Läs mer

Personuppgiftslagen 20 april 2010

Personuppgiftslagen 20 april 2010 Personuppgiftslagen 20 april 2010 Kristina Blomberg info@pulpedagogen.se 08-36 22 30, 070-751 90 41 www.pulpedagogen.se Historia FoB-arna startade diskussionen på 1960-talet Datalagen (och Datainspektionen)

Läs mer

e-förvaltning och juridiken 8 maj 2008 Kristina Blomberg

e-förvaltning och juridiken 8 maj 2008 Kristina Blomberg e-förvaltning och juridiken 8 maj 2008 Kristina Blomberg www.pulpedagogen.se Personuppgiftslagen (PuL) Vad tänka på i PuL när det gäller e-förvaltning? Missbruksregeln - Hanteringsregeln Ändamålet God

Läs mer

Lathund Personuppgiftslagen (PuL)

Lathund Personuppgiftslagen (PuL) Lathund Personuppgiftslagen (PuL) Behandling Alla former av åtgärder där man hanterar personuppgifter oavsett om det sker via datorn eller inte. Detta kan vara till exempel insamling, registrering och

Läs mer

SÄKERHETSPLAN FÖR PERSONUPPGIFTSBEHANDLING SOCIALFÖRVALTNINGEN GISLAVEDS KOMMUN

SÄKERHETSPLAN FÖR PERSONUPPGIFTSBEHANDLING SOCIALFÖRVALTNINGEN GISLAVEDS KOMMUN Uppdaterad: 2009-08-20 SÄKERHETSPLAN FÖR PERSONUPPGIFTSBEHANDLING SOCIALFÖRVALTNINGEN GISLAVEDS KOMMUN 2 INNEHÅLL 1. Regler för behandling av personuppgifter 3 2. Organisation 6 3. Rutin för att anmäla

Läs mer

Information till varje registrerad/anställd enligt personuppgiftslagen (PuL)

Information till varje registrerad/anställd enligt personuppgiftslagen (PuL) Information till varje registrerad/anställd enligt personuppgiftslagen (PuL) Den 1 oktober 2001 upphörde datalagen att gälla och personuppgiftslagen (PuL) reglerar de allra flesta behandlingar av personuppgifter.

Läs mer

Datainspektionen informerar. Hur länge får personuppgifter

Datainspektionen informerar. Hur länge får personuppgifter Datainspektionen informerar Hur länge får personuppgifter bevaras? 10 Innehåll Inledning... 4 Definitioner... 5 Kort om PuL... 5 Hur länge får man spara personuppgifter?... 7 Hur vet man när man ska ta

Läs mer

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL Beslut Dnr 2008-09- 09 810-2008 Utbildningsnämnden i Skövde kommun 541 83 SKÖVDE Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL Datainspektionens beslut Datainspektionen konstaterar att

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Vänsterpartiets medlemsregister

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Vänsterpartiets medlemsregister Datum Diarienr 2014-03-31 1288-2013 Vänsterpartiet Box 12660 112 93 STOCKHOLM Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Vänsterpartiets medlemsregister Datainspektionens beslut

Läs mer

Datainspektionen informerar. Hur länge får personuppgifter

Datainspektionen informerar. Hur länge får personuppgifter Datainspektionen informerar Hur länge får personuppgifter bevaras? 10 Ändringar i PuL Observera att innehållet i den här skriften inte är anpassat till de ändringar i PuL som trädde i kraft den 1 januari

Läs mer

STYRDOKUMENT DATUM. Dokumenttyp Dokumentnamn Fastställd/upprättad Beslutsinstans Giltighetstid Instruktion för behandling av personuppgifter

STYRDOKUMENT DATUM. Dokumenttyp Dokumentnamn Fastställd/upprättad Beslutsinstans Giltighetstid Instruktion för behandling av personuppgifter STYRDOKUMENT DATUM 2013-08-26 1(6) Instruktion för behandling av personuppgifter i Älvsbyns kommun Detta dokument ersätter; barn- och utbildningsnämndens instruktion (Bun 33 2002-06-11), fritids- och kulturnämndens

Läs mer

Kommunen och Personuppgiftsbiträdet benämns nedan var för sig Part eller gemensamt Parterna.

Kommunen och Personuppgiftsbiträdet benämns nedan var för sig Part eller gemensamt Parterna. DETTA PERSONUPPGIFTSBITRÄDESAVTAL ( Personuppgiftsbiträdesavtalet ) är dag som nedan träffat mellan: (1) Lomma kommun, organisationsnummer 212000-1066 ( Kommunen ); och (2) [ ], organisationsnummer [ ]

Läs mer

Personuppgifter. Behandling av personuppgifter

Personuppgifter. Behandling av personuppgifter Reviderad maj 2003 POLICYDOKUMENT från arbetsgruppen för forskningsetik vid ämnesrådet för medicin Personuppgifter För forskning på människor finns en omfattande reglering av såväl nationell som internationell

Läs mer

Policy för behandling av personuppgifter vid uthyrning av bostäder

Policy för behandling av personuppgifter vid uthyrning av bostäder Policy för behandling av personuppgifter vid uthyrning av bostäder (Styrelsemöte i Förvaltnings AB Framtiden 2014-12-09) 1. En gemensam god sed I ett bostadsföretags uthyrningsverksamhet förekommer i olika

Läs mer

Personuppgifter i forskningen vilka regler gäller?

Personuppgifter i forskningen vilka regler gäller? Personuppgifter i forskningen vilka regler gäller? Uppdaterad i mars 2013 Personuppgifter i forskningen vilka regler gäller? Vad gäller när en forskare hanterar integritetskänsligt material i sin forskning?

Läs mer

BILAGA Personuppgiftsbiträdesavtal

BILAGA Personuppgiftsbiträdesavtal BILAGA Personuppgiftsbiträdesavtal Till mellan Beställaren och Leverantören (nedan kallad Personuppgiftsbiträdet) ingånget Avtal om IT-produkter och IT-tjänster bifogas härmed följande Bilaga Personuppgiftsbiträdesavtal.

Läs mer

Grundkurs i personuppgiftslagen. Grundkurs för personuppgiftsombud

Grundkurs i personuppgiftslagen. Grundkurs för personuppgiftsombud Välkomna till Datainspektionen Grundkurs i personuppgiftslagen Grundkurs för personuppgiftsombud Ulrika Bergström, Jonas Agnvall, Agneta Runmarker och Ranja Bunni 15-16 mars 2016 Grundkurs i personuppgiftslagen

Läs mer

Personuppgiftslagen. Författningssamling. Vad är personuppgiftslagen (PuL)? Personuppgiftslagens syfte

Personuppgiftslagen. Författningssamling. Vad är personuppgiftslagen (PuL)? Personuppgiftslagens syfte Författningssamling Fastställd av kommunfullmäktige: 2003-03-27 68 Reviderad: Personuppgiftslagen Vad är personuppgiftslagen (PuL)? Personuppgiftslagens syfte 1 Lagens syfte är att skydda människor så

Läs mer

Personuppgifter i forskning - vilka regler gäller? Eva Nilsson chefsjurist vid SCB Victoria Söderqvist jurist vid DI

Personuppgifter i forskning - vilka regler gäller? Eva Nilsson chefsjurist vid SCB Victoria Söderqvist jurist vid DI Personuppgifter i forskning - vilka regler gäller? Eva Nilsson chefsjurist vid SCB Victoria Söderqvist jurist vid DI Varför juridiska regelverk? Skapa rättssäkerhet Skapa förutsebarhet Behov av att balansera

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter Datum Diarienr 2013-05-08 1552-2012 Socialnämnden i Norrköpings kommun Rådhuset 601 81 Norrköping Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter Datainspektionens

Läs mer

Datainspektionen informerar. Dina rättigheter enligt personuppgiftslagen

Datainspektionen informerar. Dina rättigheter enligt personuppgiftslagen Datainspektionen informerar 1 Dina rättigheter enligt personuppgiftslagen Innehåll Inledning... 4 Fakta om PuL... 5 Så här kan du få rättelse... 6 Rätten till registerutdrag... 6 Möjligheten att själv

Läs mer

Information till registrerade enligt personuppgiftslagen

Information till registrerade enligt personuppgiftslagen Information till registrerade enligt personuppgiftslagen Datainspektionens allmänna råd 1 2 Innehåll Inledning 5 Information som skall lämnas självmant (23 25 ) 6 Uppgifter som samlas in direkt från den

Läs mer

Tillsyn enligt personuppgiftslagen (1988:204) - registrering av kunduppgifter samt klagomåls- och reklamationshantering

Tillsyn enligt personuppgiftslagen (1988:204) - registrering av kunduppgifter samt klagomåls- och reklamationshantering Beslut Dnr 2009-01-12 767-2008 Ving Sverige AB 105 20 Stockholm Tillsyn enligt personuppgiftslagen (1988:204) - registrering av kunduppgifter samt klagomåls- och reklamationshantering Datainspektionens

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204)

Tillsyn enligt personuppgiftslagen (1998:204) Datum Diarienr 2011-10-03 1938-2010 Linköpings universitet 581 83 Linköping Tillsyn enligt personuppgiftslagen (1998:204) Datainspektionens beslut Datainspektionen konstaterar att Linköpings universitet

Läs mer

PERSONUPPGIFTSLAG. Den fysiska person som, efter förordnande av den personuppgiftsansvarige,

PERSONUPPGIFTSLAG. Den fysiska person som, efter förordnande av den personuppgiftsansvarige, PERSONUPPGIFTSLAG Syftet med lagen 1 Syftet med denna lag är att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. Avvikande bestämmelse i annan författning

Läs mer

Svensk författningssamling

Svensk författningssamling Svensk författningssamling Personuppgiftslag; SFS 1998:204 utfärdad den 29 april 1998. Enligt riksdagens beslut 1 föreskrivs 2 följande. Allmänna bestämmelser Syftet med lagen 1 Syftet med denna lag är

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Seamless Payment AB

Tillsyn enligt personuppgiftslagen (1998:204) Seamless Payment AB Datum Diarienr 2014-06-09 1838-2013 Seamless Payment AB Sankt Eriksgatan 121 113 43 Stockholm Tillsyn enligt personuppgiftslagen (1998:204) Seamless Payment AB Datainspektionens beslut Ärendet avslutas.

Läs mer

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL 1 (6) Beslut Dnr 2008-09-09 730-2008 Utbildningsnämnden Göteborgs stad Box 5428 402 29 Göteborg Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL Datainspektionens beslut Ärendet avslutas.

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) hantering av personnummer i samband med prisförfrågan

Tillsyn enligt personuppgiftslagen (1998:204) hantering av personnummer i samband med prisförfrågan Datum Dnr 2007-10-08 246-2007 TeliaSonera AB Att: Conny Larsson Mårbackagatan 11 123 86 Farsta Tillsyn enligt personuppgiftslagen (1998:204) hantering av personnummer i samband med prisförfrågan Datainspektionens

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post Datum Diarienr 2011-12-12 755-2011 Socialnämnden Södertälje Kommun 151 89 Södertälje Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post Datainspektionens beslut Datainspektionen

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) registrering av kunduppgifter samt klagomåls- och reklamationshantering

Tillsyn enligt personuppgiftslagen (1998:204) registrering av kunduppgifter samt klagomåls- och reklamationshantering Beslut Dnr 2009-01-12 767-2008 Fritidsresor AB Söder Mälarstrand 27 117 85 Stockholm Tillsyn enligt personuppgiftslagen (1998:204) registrering av kunduppgifter samt klagomåls- och reklamationshantering

Läs mer

riktlinje modell plan policy program regel rutin strategi taxa för behandling av personuppgifter i socialnämndens dataregister ...

riktlinje modell plan policy program regel rutin strategi taxa för behandling av personuppgifter i socialnämndens dataregister ... modell plan policy program riktlinje för behandling av personuppgifter i socialnämndens dataregister regel rutin strategi taxa............................ Beslutat av: Socialnämnden Beslutandedatum: 2015-12-16

Läs mer

Intresseavvägning enligt personuppgiftslagen

Intresseavvägning enligt personuppgiftslagen Intresseavvägning enligt personuppgiftslagen Datainspektionen informerar ORDLISTA Behandling Varje åtgärd eller serie av åtgärder som vidtas med personuppgifter, exempelvis insamling, registrering, lagring

Läs mer

Policy för hantering av personuppgifter

Policy för hantering av personuppgifter Policy för hantering av personuppgifter Dokumenttyp: Policy Beslutad av: Kommunstyrelsen Gäller för: Varbergs kommun Dokumentnamn: Policy för hantering av personuppgifter Beslutsdatum: 2013-10-15 Dokumentansvarig

Läs mer

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL 1 (6) Beslut Dnr 2008-09-09 1310-2007 Bildningsnämnden Upplands-Bro kommun 196 81 Kungsängen Beslut efter tillsyn enligt personuppgiftslagen (1998:204) PuL Datainspektionens beslut Datainspektionen konstaterar

Läs mer

Regler för behandling av personuppgifter enligt personuppgiftslagen

Regler för behandling av personuppgifter enligt personuppgiftslagen Regler för behandling av personuppgifter enligt personuppgiftslagen 2013-03-01 Innehåll 1. Kort om personuppgiftslagen... 1 2. Några begrepp i PuL... 1 3. Grundläggande krav på behandling av personuppgifter...

Läs mer

Kommunstyrelsen. Godkänt av kommunstyrelsen 2007-04-18, 77 Kompletterad av kommunstyrelsen 2012-11-14, 162

Kommunstyrelsen. Godkänt av kommunstyrelsen 2007-04-18, 77 Kompletterad av kommunstyrelsen 2012-11-14, 162 Kommunstyrelsen Regler och rutin med beskrivning av arbetet enligt PuL samt organisationsbeskrivning och regler för webbpublicering av personuppgifter på www.odeshog.se Godkänt av kommunstyrelsen 2007-04-18,

Läs mer

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Datum Dnr 2008-06-23 473-2008 Stadsdelsnämnden Södra Innerstaden, Malmö stad Box 7070 200 42 Malmö samt via e-post och fax sodrainnerstaden@malmo.se 040-346460 Beslut efter tillsyn enligt personuppgiftslagen

Läs mer

Regler för behandling av personuppgifter vid Högskolan Dalarna

Regler för behandling av personuppgifter vid Högskolan Dalarna Regler för behandling av personuppgifter vid Högskolan Dalarna Beslut: Rektor 2015-11-02 Reviderad: - Dnr: DUC 2015/1924/10 Ersätter: Tillämpning av personuppgiftslagen (PUL) inom HDa, DUF 2001/1433/12

Läs mer

Kommunstyrelsen. Regler och rutin med beskrivning av arbetet enligt PuL samt organisationsbeskrivning

Kommunstyrelsen. Regler och rutin med beskrivning av arbetet enligt PuL samt organisationsbeskrivning Kommunstyrelsen Regler och rutin med beskrivning av arbetet enligt PuL samt organisationsbeskrivning INNEHÅLLSFÖRTECKNING REGLER OCH RUTIN FÖR BEHANDLING AV PERSONUPPGIFTER... 3 Inledning... 3 Personuppgiftslagens

Läs mer

Intern åtkomst till känsliga personuppgifter hos försäkringsbolag. Datainspektionens rapport 2010:2

Intern åtkomst till känsliga personuppgifter hos försäkringsbolag. Datainspektionens rapport 2010:2 Intern åtkomst till känsliga personuppgifter hos försäkringsbolag Intern åtkomst till känsliga personuppgifter hos försäkringsbolag. Pris 53 kr, inklusive moms. Tryckt hos Intellecta infolog i Solna, oktober

Läs mer

Kanslichef - Tillsvidare

Kanslichef - Tillsvidare Riktlinjer för personuppgifter Dokumentnamn Dokumenttyp Fastställd/upprättad Beslutsinstans Riktlinjer för personuppgifter Riktlinje 2008-05-26 Kommunfullmäktige Dokumentansvarig Diarienummer Senast reviderad

Läs mer

Regler för behandling av personuppgifter samt blanketter för anmälan av personuppgiftsbehandling

Regler för behandling av personuppgifter samt blanketter för anmälan av personuppgiftsbehandling Regler för behandling av personuppgifter samt blanketter för anmälan av personuppgiftsbehandling enligt Personuppgiftslagen (1998:204) vid Göteborgs universitet. Regler för behandling av personuppgifter

Läs mer

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) av Fitness24Seven

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) av Fitness24Seven Datum Dnr 2007-11-05 535-2007 Fitnesss24Seven Box 2022 220 20 Lund Beslut efter tillsyn enligt personuppgiftslagen (1998:204) av Fitness24Seven Datainspektionens beslut Datainspektionen avslutar ärendet.

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) användning av s.k. elektroniska nycklar hos ett bostadsbolag

Tillsyn enligt personuppgiftslagen (1998:204) användning av s.k. elektroniska nycklar hos ett bostadsbolag Beslut Dnr 2008-07-02 632-2008 Eslövs Bostads AB Box 225 241 23 Eslöv Tillsyn enligt personuppgiftslagen (1998:204) användning av s.k. elektroniska nycklar hos ett bostadsbolag Datainspektionens beslut

Läs mer

PERSONUPPGIFTSLAGEN Göteborgs universitet Kristina Ul gren November 2013

PERSONUPPGIFTSLAGEN Göteborgs universitet Kristina Ul gren November 2013 Göteborgs universitet Kristina Ullgren November 2013 2 Personuppgiftslagen i sammandrag 1. Syftet att skydda den personliga integriteten 2. PuL gäller inte för privat behandling av personuppgifter 3. Vardaglig

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) En forskningsstudie vid Örebro universitet med känsliga personuppgifter om barn

Tillsyn enligt personuppgiftslagen (1998:204) En forskningsstudie vid Örebro universitet med känsliga personuppgifter om barn Beslut Diarienr 1 (5) 2017-01-25 893-2016 Ert diarienr ORU 2.6.2-02130/2016 Örebro universitet 701 82 Örebro Tillsyn enligt personuppgiftslagen (1998:204) En forskningsstudie vid Örebro universitet med

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Bolagsverkets utlämnande av personuppgifter till Bisnode AB

Tillsyn enligt personuppgiftslagen (1998:204) Bolagsverkets utlämnande av personuppgifter till Bisnode AB Datum Diarienr 2014-10-02 704-2013 Bolagsverket 851 81 Sundsvall Tillsyn enligt personuppgiftslagen (1998:204) Bolagsverkets utlämnande av personuppgifter till Bisnode AB Datainspektionens beslut För att

Läs mer

regel plan policy program regel riktlinje rutin strategi taxa regler för personuppgiftshantering ... Beslutat av: Kommunfullmäktige

regel plan policy program regel riktlinje rutin strategi taxa regler för personuppgiftshantering ... Beslutat av: Kommunfullmäktige plan policy regel regler för personuppgiftshantering program regel riktlinje rutin strategi taxa............................ Beslutat av: Kommunfullmäktige Beslutandedatum: 2015-02-16 16 Ansvarig: Kanslichef

Läs mer

Säkerhetspolisens behandling av känsliga personuppgifter i fristående databaser

Säkerhetspolisens behandling av känsliga personuppgifter i fristående databaser Uttalande SÄKERHETS- OCH INTEGRITETSSKYDDSNÄMNDEN 2013-09-04 Dnr 150-2012 Säkerhetspolisens behandling av känsliga personuppgifter i fristående databaser 1 SAMMANFATTNING Säkerhets- och integritetsskyddsnämnden

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter Datum Diarienr 2013-05-08 646-2012 Socialnämnden i Halmstad kommun Box 230 301 06 Halmstad Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter Datainspektionens

Läs mer

POLICY FÖR BEHANDLING AV PERSONUPPGIFTER. VA SYD, org. nr , är personuppgiftsansvarig enligt personuppgiftslagen (1998:204).

POLICY FÖR BEHANDLING AV PERSONUPPGIFTER. VA SYD, org. nr , är personuppgiftsansvarig enligt personuppgiftslagen (1998:204). POLICY FÖR BEHANDLING AV PERSONUPPGIFTER PERSONUPPGIFTSANSVARIG VA SYD, org. nr. 222000-2378, är personuppgiftsansvarig enligt personuppgiftslagen (1998:204). Besöksadress: Hans Michelsensgatan 2, 211

Läs mer

Personuppgiftsombudet

Personuppgiftsombudet Personuppgiftsombudet Datainspektionen informerar Personuppgiftsombudet Med den här skriften vill Datainspektionen informera om personuppgiftsombudets roll och arbetsuppgifter. Den innehåller upplysningar

Läs mer

Beslut efter tillsyn enligt personuppgiftslagen (1998:204)

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Beslut Dnr 2005-03-09 1978-2004 ICA Sverige AB 721 84 VÄSTERÅS Beslut efter tillsyn enligt personuppgiftslagen (1998:204) Datainspektionens beslut Datainspektionen konstaterar att ICA Sverige AB i kassasystemet

Läs mer

Riktlinjer för behandling av personuppgifter

Riktlinjer för behandling av personuppgifter Riktlinjer för behandling av personuppgifter Antagna av kommunstyrelsen den 10 augusti 2016, 256. Inledning Personuppgiftslagen innehåller bestämmelser om när personuppgifter får samlas in, hur de insamlade

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post Datum Diarienr 2011-12-12 757-2011 Socialnämnden Lunds Kommun 221 00 Lund Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post Datainspektionens beslut Datainspektionen

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) inspelning av telefonsamtal i kundtjänst

Tillsyn enligt personuppgiftslagen (1998:204) inspelning av telefonsamtal i kundtjänst Beslut Diarienr 1 (7) 2016-05-10 120-2016 Er referens JR 21/2016 TeliaSonera Sverige AB 123 86 Farsta Tillsyn enligt personuppgiftslagen (1998:204) inspelning av telefonsamtal i kundtjänst Datainspektionens

Läs mer

Datainspektionens tillsyn av länsstyrelsernas elektroniska förvaltning

Datainspektionens tillsyn av länsstyrelsernas elektroniska förvaltning Bilaga 1 Datainspektionens tillsyn av länsstyrelsernas elektroniska förvaltning Datainspektionen granskade under år 2010 Länsstyrelsen i Västra Götalands hantering av personuppgifter i den elektroniska

Läs mer

PERSONUPPGIFTSBITRÄDESAVTAL

PERSONUPPGIFTSBITRÄDESAVTAL 1 Microsoft AB ( Microsoft ), Box 27, 164 93 KISTA och ( Personuppgiftsbiträdet ) har denna dag träffat följande PERSONUPPGIFTSBITRÄDESAVTAL Bakgrund Personuppgiftslagen ställer krav på skriftligt avtal

Läs mer

Lag (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet

Lag (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet Lag (2005:787) om behandling av uppgifter i Tullverkets brottsbekämpande verksamhet Lag om uppgifter i tullbrottsdatabasen [3701] Lagens tillämpningsområde 1 [3701] Denna lag gäller vid Tullverkets behandling

Läs mer

Betänkandet låt fler forma framtiden! (SOU 2016:5)

Betänkandet låt fler forma framtiden! (SOU 2016:5) Yttrande Diarienr 1 (7) 2016-06-21 536-2016 Ert diarienr Ku2016/00088/D Kulturdepartementet 103 33 Stockholm även via e-post Betänkandet låt fler forma framtiden! (SOU 2016:5) Datainspektionen har granskat

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Kristdemokraternas medlemsregister

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Kristdemokraternas medlemsregister Datum Diarienr 2014-03-31 1293-2013 Kristdemokraterna Box 2373 103 18 STOCKHOLM Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Kristdemokraternas medlemsregister Datainspektionens

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter Datum Diarienr 2013-05-08 643-2012 Socialnämnden Järfälla kommun 177 80 Järfälla Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter Datainspektionens

Läs mer

Tillsynsbeslut mot Försvarsmakten avseende behandlingen av personuppgifter i IT-stöden PRIO och ReachMee

Tillsynsbeslut mot Försvarsmakten avseende behandlingen av personuppgifter i IT-stöden PRIO och ReachMee Datum Diarienr 2013-04-05 1610-2012 Försvarsmakten Högkvarteret 107 85 STOCKHOLM Tillsynsbeslut mot Försvarsmakten avseende behandlingen av personuppgifter i IT-stöden PRIO och ReachMee Datainspektionens

Läs mer

Regler för hantering av personuppgifter i Stenungsunds kommun

Regler för hantering av personuppgifter i Stenungsunds kommun STENUNGSUNDS KOMMUN Regler för hantering av personuppgifter i Stenungsunds kommun Typ av dokument Regler Dokumentägare Personuppgiftsombud Beslutat av Kommunstyrelsen Giltighetstid Tills vidare Beslutsdatum

Läs mer

Personuppgiftslagen PUL

Personuppgiftslagen PUL SFS nr: 1998:204 Departement/ myndighet: Justitiedepartementet L6 Rubrik: Personuppgiftslag (1998:204) Utfärdad: 1998-04-29 Ändring införd: t.o.m. SFS 2003:466 Personuppgiftslagen PUL Allmänna bestämmelser

Läs mer

Behandling av personuppgifter

Behandling av personuppgifter Behandling av personuppgifter Justitiedepartemenet Tryck: Norstedts Tryckeri 1998. Upplaga: 5000 ex. 0101010101010101010101010101010101 1010101010101010101010101010101010 0101010101010101010101010101010101

Läs mer

Datainspektionen informerar. Dina rättigheter enligt personuppgiftslagen

Datainspektionen informerar. Dina rättigheter enligt personuppgiftslagen Datainspektionen informerar 1 Dina rättigheter enligt personuppgiftslagen Ändringar i PuL Observera att innehållet i den här skriften inte är anpassat till de ändringar i PuL som trädde i kraft den 1 januari

Läs mer

Policy för hantering av personuppgifter för verksamheter inom AcadeMedia-koncernen

Policy för hantering av personuppgifter för verksamheter inom AcadeMedia-koncernen Stockholm 2012-10-22 Policy för hantering av personuppgifter för verksamheter inom AcadeMedia-koncernen Personuppgiftslagen (PuL) innehåller en rad bestämmelser som är viktiga att känna till för verksamheter

Läs mer

Datainspektionen informerar. Intresseavvägning enligt personuppgiftslagen

Datainspektionen informerar. Intresseavvägning enligt personuppgiftslagen Datainspektionen informerar Intresseavvägning enligt personuppgiftslagen 12 Innehåll Inledning... 4 Definitioner... 4 När tillämpas PuL?... 6 Tillåten behandling?... 7 Behandling efter en intresseavvägning...

Läs mer

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) registrering av icke kyrkotillhöriga barn

Beslut efter tillsyn enligt personuppgiftslagen (1998:204) registrering av icke kyrkotillhöriga barn Datum Diarienr 2014-01-23 1842-2013 Kyrkostyrelsen Svenska kyrkan 751 70 Uppsala Beslut efter tillsyn enligt personuppgiftslagen (1998:204) registrering av icke kyrkotillhöriga barn Datainspektionens beslut

Läs mer

Anmälan om att en arbetsgivare brister i det förebyggande och främjande arbetet

Anmälan om att en arbetsgivare brister i det förebyggande och främjande arbetet Anmälningsblankett Sida 1 (5) Anmälan om att en arbetsgivare brister i det förebyggande och främjande arbetet Använd den här blanketten för att anmäla att en arbetsgivare brister i arbetet med så kallade

Läs mer

ORGANISATION OCH ANSVAR ENLIGT PERSONUPPGIFTSLAGEN (PUL)

ORGANISATION OCH ANSVAR ENLIGT PERSONUPPGIFTSLAGEN (PUL) För kännedom Landstingsstyrelsen Landstingsjurist Per Blomberg Landstingsdirektör tf, Helena Söderquist ORGANISATION OCH ANSVAR ENLIGT PERSONUPPGIFTSLAGEN (PUL) Enligt revisionsplanen genomförs, på uppdrag

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204)- två forskningsprojekt vid Novartis Sverige AB

Tillsyn enligt personuppgiftslagen (1998:204)- två forskningsprojekt vid Novartis Sverige AB Beslut Diarienr 1 (9) 2015-07-03 558-2014 Novartis Sverige AB Box 1150 183 11 TÄBY Tillsyn enligt personuppgiftslagen (1998:204)- två forskningsprojekt vid Novartis Sverige AB Datainspektionens beslut

Läs mer

DOM Meddelad i Stockholm

DOM Meddelad i Stockholm 2005-03-02 Meddelad i Stockholm Mål nr Rotel 661 Sida 1 (5) KLAGANDE Barn- och utbildningsnämnden i Uddevalla kommun Ombud: Kristina Olinder Stadskansliet Uddevalla kommun 451 81 UDDEVALLA MOTPART Datainspektionen

Läs mer

Riktlinjer för behandling av personuppgifter inom skolans område

Riktlinjer för behandling av personuppgifter inom skolans område 2003-10-10 Riktlinjer för behandling av personuppgifter inom skolans område När är PuL tillämplig? Personuppgiftslagen, PuL, är tillämplig när det är fråga om behandling av personuppgifter. Med personuppgifter

Läs mer

PM 18.01 2001-10-03. Tillämpning av PUL inom Barn- och utbildningsnämndens verksamheter

PM 18.01 2001-10-03. Tillämpning av PUL inom Barn- och utbildningsnämndens verksamheter PM 18.01 BARN- OCH UTBILDNINGSFÖRVALTNINGEN 2001-10-03 Tillämpning av PUL inom Barn- och utbildningsnämndens verksamheter 1. Bakgrund PuL, personuppgiftslagen, trädde i kraft hösten 1998. Övergångsvis,

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i kollektivtrafiken; e-biljetter m.m.

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i kollektivtrafiken; e-biljetter m.m. Beslut Dnr 2007-10-30 550-2007 AB Storstockholms Lokaltrafik 105 73 STOCKHOLM Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i kollektivtrafiken; e-biljetter m.m. Datainspektionens

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Socialdemokraternas medlemsregister

Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Socialdemokraternas medlemsregister Datum Diarienr 2014-03-31 1287-2013 Socialdemokraterna 105 60 STOCKHOLM Tillsyn enligt personuppgiftslagen (1998:204) uppföljning av ärende om Socialdemokraternas medlemsregister Datainspektionens beslut

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post Datum Diarienr 2011-12-12 756-2011 Socialnämnden Sundsvalls kommun 851 85 Sundsvall Tillsyn enligt personuppgiftslagen (1998:204) Behandling av personuppgifter i e-post Datainspektionens beslut Datainspektionen

Läs mer

HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM

HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM HÖGSTA FÖRVALTNINGSDOMSTOLENS DOM 1 (6) meddelad i Stockholm den 5 juni 2012 KLAGANDE Försäkringskassan 103 51 Stockholm MOTPART Datainspektionen Box 8114 104 20 Stockholm ÖVERKLAGAT AVGÖRANDE Kammarrätten

Läs mer

Fyll i blanketten noga det underlättar DO:s arbete med din anmälan.

Fyll i blanketten noga det underlättar DO:s arbete med din anmälan. Anmälningsblankett Sida 1 (8) Anmälan om diskriminering inom ett annat arbetslivsområde Har du eller någon annan blivit diskriminerad inom arbetslivsområdet men inte av en arbetsgivare? Diskrimineringsförbudet

Läs mer

Frågor & svar om nya PuL

Frågor & svar om nya PuL Frågor & svar om nya PuL Fråga 1: Varför ändras PuL? PuL ändras för att underlätta vardaglig behandling av personuppgifter som normalt inte medför några risker för att de registrerades personliga integritet

Läs mer

Hur länge får personuppgifter bevaras? Datainspektionen informerar

Hur länge får personuppgifter bevaras? Datainspektionen informerar Hur länge får personuppgifter bevaras? Datainspektionen informerar FAKTA Ordlista Behandling Med behandling av personuppgifter menar man allt man gör med personuppgifter, exempelvis insamling, registrering

Läs mer

Tillsyn enligt personuppgiftslagen (1998:204) utlämnande av uppgifter om medlemmar

Tillsyn enligt personuppgiftslagen (1998:204) utlämnande av uppgifter om medlemmar Beslut Dnr 2008-10-15 1176-2008 De handikappades riksförbund Box 47305 100 74 Stockholm Tillsyn enligt personuppgiftslagen (1998:204) utlämnande av uppgifter om medlemmar Datainspektionens beslut Datainspektionen

Läs mer